La General Data Protection Regulation (GDPR), nouveau règlement européen sur le traitement des données personnelles qui entrera en vigueur le 25 mai 2018 s’avère être un immense challenge pour l’industrie financière.
De nombreuses fintechs spécialisées dans les services bancaires (épargne, crédit, banque en ligne et processus bancaires), traitent les données personnelles de leurs clients. Grâce à celles-ci, elles peuvent à la fois offrir des produits et services adaptés tout en se prémunissant de la fraude ou de l’usurpation d’identité. Ces informations très variées vont des données de contact (adresses, téléphones, état civil), aux coordonnées bancaires en passant par les données biométriques, les adresses IP, les géolocalisations et surtout les habitudes de consommation des clients.
Les fintechs devront démontrer que le consentement des clients est donné librement
Or la GDPR va toucher directement le traitement de ces informations, et ce dès leur collecte. Par exemple, nous décochons tous la petite case qui stipule que nous consentons à ce que nos informations puissent être partagées à des fins marketing ou commerciales. Cette pratique sera bientôt révolue car elle n’est pas conforme aux exigences du nouveau règlement : les fintechs devront démontrer que le consentement des clients est donné librement, de manière spécifique, sans aucune ambiguïté. Le client devra affirmer sa volonté. Et il pourra revenir dessus à tout moment. Fini donc les cases pré cochées ! Voilà qui est facile à mettre en place, certes… mais ce n’est pas tout. Les règles de confidentialité (les lignes en petits caractères que personne ne lit quand on installe une nouvelle application) sont elles aussi concernées par la GDPR. Les fintechs devront détailler précisément aux clients le traitement des données qui est envisagé tout en étant clair et concis… On frise l’oxymore. Enfin, le partage des données clients avec d’autres prestataires est également concerné par le GPDR. Les fintechs spécialisées dans la collecte, le stockage et l’analyse des données personnelles devront mettre en conformité TOUS les contrats de prestation de service qui les lient avec leurs fournisseurs et sous-traitants pour s’assurer que les obligations et les responsabilités de chaque partie soient clairement stipulées (surtout en cas de litige). Auparavant, il suffisait que le prestataire s’engage à ne traiter les données du « maître du fichier » que sur instruction écrite de ce dernier. Le prestataire devait simplement sécuriser techniquement les traitements auxquels il procédait. Avec la GDPR, les conditions devront être formalisées pour plus de transparence dans les relations entre le « maître du fichier » et son prestataire SaaS (et ce dernier avec son hébergeur qui joue un rôle déterminant dans la chaine de traitement des données).
La GDPR impacte encore bien d’autres domaines : création d’un poste de délégué à la protection des données ou Data Protection Officer (DPO), droit à l’oubli et à la rectification, mise en place du registre des activités de traitement, portabilité des données, enregistrement des consentements et sécurité des données…
Pour ces raisons, les parcours clients et les processus d’inscription / enregistrement doivent faire l’objet d’une mise en conformité sous peine d’amende :
- 10m€ / 2% du CA mondial maximal pour sanctionner les entreprises qui ne se sont pas conformées avec la GDPR
- 20m€ / 4% du CA mondial maximal en cas de non-respect des droits accordés aux personnes dont les données sont traitées
La GDPR serait donc un frein pour le développement des fintechs ?
Pas forcément. Par leur créativité et leur maîtrise des nouvelles technologies, elles sont à même de relever ce défi.
Le succès de ce secteur du monde financier repose notamment sur la confiance accordée par les clients quant au traitement et à la confidentialité de leurs données personnelles, notamment pour les fintechs telles que les robo advisors. La nouvelle réglementation vise elle aussi à renforcer la relation de confiance entre les clients et les acteurs financiers. Au-delà de l’adoption des bonnes pratiques et de la mise en conformité des processus, les fintechs qui tireront leur épingle du jeu seront celles qui arriveront à faire savoir à leurs clients que le respect de la confidentialité des données personnelles est correctement intégré aux applications et services fournis. Ainsi, la fintech Utocat vient de lancer sa solution « Catalizr » permettant de simplifier grâce à la blockchain l’enregistrement de titres non cotés conforme aux exigences de la GDPR. L’argument est mis en avant au même titre que les avantages opérationnels et commerciaux qu’offre cette nouvelle solution. Les fintechs Bankin’ et Linxo communiquent également sur la non divulgation des informations personnelles et les aspects sécuritaires sur le traitement de celles-ci. L’argument GDPR est devenu une force commerciale assurant une relation de confiance entre les fintechs et leurs clients.
Certaines fintechs vont même jusqu’à se spécialiser dans les solutions de traitement de données en conformité avec la GDPR, d’autres développent des systèmes de diagnostics permettant d’identifier rapidement les manquements aux dispositions réglementaires. Privacy Valley, une fintech Hollandaise propose un logiciel de diagnostic et de support au traitement des données personnelles assurant la mise en conformité des dispositifs clients. Datanos propose des services de DPO externalisés ou mutualisés évitant ainsi de créer un poste et une structure dédiée en interne. La fintech propose d’informer, de sensibiliser et de réaliser les inventaires des traitements des données ainsi que de remédier aux défaillances identifiées.
Les fintechs peuvent devenir des partenaires clés apportant plus de sécurité dans les processus de traitement des données mais aussi en conseillant leurs clients dans la gestion de ces données. De plus, ces services à forte valeur ajoutée permettent aux entreprises clientes de réaliser d’importantes économies par rapport à l’adaptation totalement internalisée.
Alors, la GDPR, un eldorado? Une chose est sûre, il reste peu de temps pour mettre à niveau les dispositifs.
